Verbinden von Apple-Geräten mit 802.1X-Netzwerken
Du kannst Apple-Geräte sicher mit dem 802.1X-Netzwerk deiner Organisation verbinden. Dies schließt auch WLAN- und Ethernet-Verbindungen ein.
Gerät | Verbindungsmethode | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iPhone | WLAN Ethernet (iOS 17 oder neuer) | ||||||||||
iPad | WLAN Ethernet (iPadOS 17 oder neuer) | ||||||||||
Mac | WLAN Ethernet | ||||||||||
Apple TV 4K (3. Generation) WLAN | WLAN Ethernet (tvOS 17 oder neuer) | ||||||||||
Apple TV 4K (3. Generation) WLAN + Ethernet | WLAN Ethernet (tvOS 17 oder neuer) | ||||||||||
Apple Vision Pro | WLAN | ||||||||||
Im Zuge der 802.1X-Aushandlung präsentiert der RADIUS-Server dem anfragenden Gerät sein Zertifikat automatisch. Das anfragende Gerät muss dem RADIUS-Serverzertifikat vertrauen, indem das Vertrauen entweder mit einem bestimmten Zertifikat oder einer Liste von erwarteten Hostnamen, die dem Host des Zertifikats entsprechen, verknüpft wird. Selbst wenn ein Zertifikat durch eine bekannte Zertifizierungsstelle (CA) ausgegeben wurde und es im vertrauenswürdigen Root-Speicher des Geräts aufgeführt ist, muss ihm auch für einen bestimmten Zweck vertraut werden. In diesem Fall muss dem Zertifikat des Servers für den RADIUS-Dienst vertraut werden. Dies erfolgt entweder manuell, wenn die Verbindung zu einem Unternehmensnetzwerk hergestellt und der Benutzer aufgefordert wird, dem Zertifikat für das verbundene WLAN zu vertrauen, oder in einem Konfigurationsprofil.
Es ist nicht notwendig, eine Zertifikatkette des Vertrauens in dem Profil zu etablieren, das die 802.1X-Konfiguration enthält. Der Administrator kann beispielsweise das Zertifikat des Vertrauens für eine Organisation in einem eigenständigen Profil bereitstellen und die 802.1X-Konfiguration getrennt davon in einem anderen Profil bereitstellen. Auf diese Weise können Änderungen an einem Profil unabhängig vom jeweils anderen Profil vorgenommen werden.
Neben weiteren Parametern kann die 802.1X-Konfiguration Folgendes festlegen:
EAP-Typen:
Für EAP-Typen auf Basis von Benutzernamen und von Passwörtern (z. B. PEAP): Der Benutzername bzw. das Passwort kann im Profil bereitgestellt werden. Wird der jeweilige Wert nicht bereitgestellt, wird der Benutzer zur Eingabe aufgefordert.
Für EAP-Typen auf Basis von Zertifikaten (z. B. EAP-TLS): Wähle die Payload aus, die die Zertifikatsidentität für die Authentifizierung enthält. Dabei kann es sich um die Payload „Active Directory-Zertifikat“ (nur macOS), die Payload „ACME“, eine PKCS #12-Identitätszertifikatsdatei (.p12 oder .pfx) in der Payload „Zertifikate“ oder eine SCEP-Payload handeln. Standardmäßig verwendet das anfordernde iOS-, iPadOS- oder macOS-Gerät den Bestandteil „common name“ (CN) des Identitätszertifikats für die EAP-Antwortidentität, die im Zuge der 802.1X-Aushandlung an den RADIUS-Server gesendet wird. Weitere Informationen findest du unter Methoden für die Implementierung von Zertifikaten mit MDM-Payloads.
Wichtig: Mit iOS 17, iPadOS 17 und macOS 14 unterstützen Geräte jetzt den Zugriff auf 802.1X-Netzwerke per EAP-TLS mit TLS 1.3 (EAP-TLS 1.3).
EAP-Zugangsdaten für ein geteiltes iPad: Ein geteiltes iPad verwendet dieselben EAP-Zugangsdaten für alle Benutzer.
Vertrauen:
Vertrauenswürdige Zertifikate: Wenn das untergeordnete Zertifikat des RADIUS-Servers in einer Zertifikate-Payload im selben Profil bereitgestellt wird, das die 802.1X-Konfiguration enthält, kann der Administrator sie dort auswählen. Auf diese Weise wird der anfordernde Client so konfiguriert, dass er nur die Verbindung zu einem 802.1X-Netzwerk mit einem RADIUS-Server herstellt, der sich durch eines der in der Liste enthaltenen Zertifikate ausweist. Bei einer solchen Konfiguration wird die 802.1X-Verbindung kryptografisch an bestimmte Zertifikat angeheftet.
Vertrauenswürdige Serverzertifikat-Namen: Mit diesem Array kann das anfordernde Gerät so konfiguriert werden, dass es nur die Verbindung zu einem RADIUS-Server herstellt, der sich durch ein Zertifikat ausweist, dessen Name mit einem der aufgelisteten Namen übereinstimmt. In diesem Feld sind Platzhalterzeichen zulässig. Beispiel: Bei Eingabe von „*.betterbag.com“ wird „radius1.betterbag.com“ oder „radius2.betterbag.com“ als CN (Common Name) des Zertifikats erwartet. Platzhalterzeichen bieten Administratoren mehr Flexibilität, wenn Änderungen an verfügbaren RADIUS- oder Zertifizierungsinstanz-Servern auftreten.
802.1X-Konfigurationen für den Mac
Du kannst auch die WPA/WPA2/WPA3 Enterprise-Authentifizierung im macOS-Anmeldefenster verwenden, sodass sich der Benutzer beim Anmelden im Netzwerk authentifizieren muss. Der macOS-Systemassistent unterstützt auch die 802.1X-Authentifizierung per Benutzername und Passwort über TTLS oder PEAP. Weitere Informationen findest du im Apple Support-Artikel Den Anmeldefenstermodus für die 802.1X-Authentifizierung an einem Netzwerk verwenden.
Es gibt folgende Arten von 802.1X-Konfigurationen:
Benutzermodus: Dieser Modus lässt sich am einfachsten konfigurieren und wird genutzt, wenn sich ein Benutzer über das WLAN-Menü mit dem Netzwerk verbindet und bei entsprechender Aufforderung authentifiziert. Der Benutzer muss das X.509-Zertifikat des RADIUS-Servers akzeptieren und der WLAN-Verbindung vertrauen.
Systemmodus: Der Systemmodus wird für die Authentifizierung des Computers verwendet. Die Authentifizierung unter Verwendung des Systemmodus erfolgt, bevor sich ein Benutzer beim Computer anmeldet. Der Systemmodus wird üblicherweise konfiguriert, um die Authentifizierung mit dem X.509-Zertifikat (EAP-TLS) des Computers bereitzustellen, das von einer lokalen Zertifizierungsstelle ausgegeben wird.
Modus „System+Benutzer“: Eine „System+Benutzer“-Konfiguration ist oftmals Teil einer Eins-zu-Eins-Implementierung, bei der der Computer mit seinem X.509-Zertifikat (EAP-TLS) authentifiziert wird. Nach der Anmeldung beim Computer kann sich der Benutzer über das WLAN-Menü mit dem WLAN verbinden und seine Anmeldedaten eingeben. Die Anmeldedaten des Benutzers können ein Benutzername und ein Code (EAP-PEAP, EAP-TTLS) oder ein Benutzerzertifikat (EAP-TLS) sein. Nachdem der Benutzer die Verbindung zum Netzwerk hergestellt hat, werden seine Anmeldedaten im Anmeldeschlüsselbund gespeichert und für zukünftige Netzwerkverbindungen verwendet.
Anmeldefenstermodus: Dieser Modus wird verwendet, wenn der Computer an einen lokalen Verzeichnisdienst vor Ort wie Active Directory gebunden ist. Wenn der Anmeldefenstermodus konfiguriert ist und ein Benutzer seinen Benutzernamen und das zugehörige Passwort im Anmeldefenster eingibt, wird der Benutzer zuerst für den Computer und dann für das Netzwerk authentifiziert, wobei die 802.1X-Authentifizierung genutzt wird. Der Anmeldefenstermodus übergibt den Benutzernamen und das Passwort nur, wenn vorher das Anmeldefenster erscheint. Wenn für den Mac der Ruhezustand aktiviert wird und der Wartezustandstimer für den WLAN-Controller abgelaufen ist, muss ein Mac, der nur mit dem Anmeldefenstermodus eingerichtet wurde, neu gestartet werden oder der Benutzer muss sich abmelden. Der Benutzer kann anschließend seinen Benutzernamen und das Passwort erneut eingeben.
Hinweis: Für den Systemmodus, den Modus „System+Benutzer“ (erforderlich für die Konfiguration des Systemmodus) und Anmeldefenstermodus ist die Konfiguration durch eine MDM-Lösung erforderlich. Konfiguriere für den Systemmodus die Einstellungen für die Netzwerk-Payload mit den gewünschten WLAN-Netzwerkeinstellungen und wende sie auf ein Gerät oder eine Gerätegruppe an.
802.1X und Geteiltes iPad
Du kannst ein geteiltes iPad mit 802.1X-Netzwerken verwenden. Weitere Informationen findest du unter Geteilte iPad-Geräte und 802.1X-Netzwerke.